企業(yè)發(fā)布

山石網(wǎng)科楊慶華：面對(duì)等保2.0 沒有包治百病的產(chǎn)品和技術(shù)

2019/5/24 10:40:00 來源：中國(guó)企業(yè)新聞網(wǎng) 評(píng)論：(0)

導(dǎo)言：5月13日，備受期待的網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0（簡(jiǎn)稱“等保2.0”）核心標(biāo)準(zhǔn)已正式發(fā)布，網(wǎng)絡(luò)安全行業(yè)瞬間熱鬧起來。標(biāo)準(zhǔn)發(fā)布的第二天，市場(chǎng)上就出現(xiàn)了各種幫助企業(yè)包治百病、順利過“檢”的“藥方”。網(wǎng)絡(luò)安全行業(yè)等保領(lǐng)域的專家、山石網(wǎng)科高級(jí)副總裁楊慶華則認(rèn)為，不能將等級(jí)保護(hù)2.0庸俗化，不能只談技術(shù)不談管理。

5月13日，備受期待的網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0（簡(jiǎn)稱“等保2.0”）核心標(biāo)準(zhǔn)已正式發(fā)布，網(wǎng)絡(luò)安全行業(yè)瞬間熱鬧起來。標(biāo)準(zhǔn)發(fā)布的第二天，市場(chǎng)上就出現(xiàn)了各種幫助企業(yè)包治百病、順利過“檢”的“藥方”。網(wǎng)絡(luò)安全行業(yè)等保領(lǐng)域的專家、山石網(wǎng)科高級(jí)副總裁楊慶華則認(rèn)為，不能將等級(jí)保護(hù)2.0庸俗化，不能只談技術(shù)不談管理。

作為網(wǎng)絡(luò)安全行業(yè)從業(yè)22年的資深專家，楊慶華認(rèn)為等級(jí)保護(hù)是科學(xué)發(fā)展觀，是網(wǎng)絡(luò)安全建設(shè)的科學(xué)方法論、具有“單一技術(shù)搞不定、單一產(chǎn)品搞不定”的復(fù)雜特點(diǎn)，不僅要將管理的重視程度提高至技術(shù)層面同級(jí)別，還要建立一套科學(xué)自律的網(wǎng)絡(luò)安全“生活習(xí)慣”。因?yàn)槌掷m(xù)穩(wěn)定保障企業(yè)的業(yè)務(wù)運(yùn)行，才是等保的核心意義。

等保2.0是否已經(jīng)變成廠商新商機(jī)的狂歡？用戶面對(duì)類目繁多的等保2.0還有哪些“坑”要繞開？楊慶華先生的觀點(diǎn)如下：

1、等保2.0是系統(tǒng)發(fā)展觀非單一標(biāo)準(zhǔn)

等級(jí)保護(hù)是網(wǎng)絡(luò)安全建設(shè)的科學(xué)方法論，通過等級(jí)保護(hù)的政策指導(dǎo)、技術(shù)要求建立一套良性發(fā)展的安全體系，才是等級(jí)保護(hù)制度的意義。而不是淺顯地理解成一套執(zhí)行要求、標(biāo)準(zhǔn)集合。

如今市場(chǎng)出現(xiàn)的各種快速通過的等保2.0藥方，相當(dāng)于把等保庸俗化。就好比想要一個(gè)強(qiáng)健的身體，不能光靠吃藥。吃藥甚至是有害的，更重要被認(rèn)真對(duì)待的是健康的生活方式。等保就是在要求用戶在網(wǎng)絡(luò)安全建設(shè)方面，培養(yǎng)健康的生活方式。

2、等保2.0是技術(shù)+管理非產(chǎn)品堆疊

用戶的安全體系想要健康，必須做到：技術(shù)過關(guān)，管理夠硬。

在技術(shù)層面，等保2.0不是一款產(chǎn)品可以解決的，譬如：新標(biāo)準(zhǔn)的三級(jí)系統(tǒng)有71個(gè)控制點(diǎn)，211個(gè)控制項(xiàng)，每一個(gè)控制項(xiàng)都需要依靠2-3個(gè)設(shè)備才能實(shí)現(xiàn)；再比如：在等保2.0要求中，三級(jí)系統(tǒng)的邊界防護(hù)，有4條明確的要求項(xiàng)，而這4個(gè)要求項(xiàng)至少需要依靠4種技術(shù)2-3個(gè)產(chǎn)品及安全管理系統(tǒng)才能同時(shí)實(shí)現(xiàn)……所以說包治百病的“神藥”是根本不存在的。

另外，等保也不是購(gòu)買一堆產(chǎn)品堆疊在一起就可以滿足要求的，更不要提什么“套餐”，而是產(chǎn)品的功能、配置、策略以及產(chǎn)品間的協(xié)調(diào)、配合、聯(lián)動(dòng)。

同時(shí)要特別注意的是：等級(jí)保護(hù)將管理要求上升到和技術(shù)要求同等重要的位置，管理要求包括人員、機(jī)構(gòu)、制度、運(yùn)維、建設(shè)等方面，其中管理制度僅這一項(xiàng)就包括了策略制定、制度執(zhí)行、審批流程等細(xì)節(jié)內(nèi)容；安全進(jìn)程管理、安全運(yùn)維管理的控制點(diǎn)及要求項(xiàng)的數(shù)量，甚至超過了技術(shù)要求中的分類。

由此可見，即使技術(shù)層面可以通過購(gòu)買產(chǎn)品解決，但管理軟實(shí)力的修煉，整個(gè)體系的搭建需要用戶在運(yùn)維方面多下功夫，不能期望一蹴而就。

而對(duì)于廠商而言，不談管理的等保2.0都有市場(chǎng)誤導(dǎo)的嫌疑。

3、等保測(cè)評(píng)只是手段非等保目的

企業(yè)的網(wǎng)絡(luò)安全是一個(gè)大生命周期。在這個(gè)周期里，每個(gè)系統(tǒng)之間需要不斷調(diào)整和完善。隨著安全環(huán)境的變化，需要隨時(shí)動(dòng)態(tài)調(diào)整策略和結(jié)構(gòu)，因?yàn)樾碌墓艉托碌穆┒吹木W(wǎng)絡(luò)危險(xiǎn)也一直在進(jìn)化。

在這樣大的生命周期里，等保的測(cè)評(píng)只是手段，用戶和廠商都不能把通過測(cè)評(píng)當(dāng)成目的。舉個(gè)例子，不能說通過等保2.0三級(jí)的建設(shè)標(biāo)準(zhǔn)，就能滿足三級(jí)標(biāo)準(zhǔn)的安全。因?yàn)闇y(cè)評(píng)只是及格分，而及格分并不代表合規(guī)。真正的安全建設(shè)應(yīng)該大大超出60分。

綜合以上觀點(diǎn)，山石網(wǎng)科認(rèn)為，結(jié)合市場(chǎng)現(xiàn)狀可以看出，如果有用戶認(rèn)為購(gòu)買網(wǎng)絡(luò)安全產(chǎn)品通過等保2.0測(cè)評(píng)就能保證系統(tǒng)、數(shù)據(jù)的安全運(yùn)行，這是沒將等保的原理和目的搞清楚。而部分廠商進(jìn)行“打保票”式的夸張宣傳，也是極不負(fù)責(zé)任的。

等保2.0作為網(wǎng)安行業(yè)具有里程碑意義的建設(shè)體系工程，廠商不應(yīng)將合規(guī)需求單純理解成簡(jiǎn)單的商機(jī)，用戶也不應(yīng)該將等保 2.0理解成一次簡(jiǎn)單的安全考試。廠商和用戶都該本著科學(xué)發(fā)展觀的態(tài)度來正確解讀等保2.0 -- 廠商以解決用戶實(shí)際問題的態(tài)度研發(fā)產(chǎn)品，以實(shí)事求是的態(tài)度進(jìn)行宣傳；用戶則應(yīng)該對(duì)自身提出更高的網(wǎng)絡(luò)安全管理技術(shù)要求，扎扎實(shí)實(shí)將安全體系建設(shè)作為企業(yè)業(yè)務(wù)高效運(yùn)轉(zhuǎn)的第一護(hù)城河。

免責(zé)聲明：

※ 以上所展示的信息來自媒體轉(zhuǎn)載或由企業(yè)自行提供，其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本網(wǎng)站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本網(wǎng)站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。如果以上內(nèi)容侵犯您的版權(quán)或者非授權(quán)發(fā)布和其它問題需要同本網(wǎng)聯(lián)系的，請(qǐng)?jiān)?0日內(nèi)進(jìn)行。
※ 有關(guān)作品版權(quán)事宜請(qǐng)聯(lián)系中國(guó)企業(yè)新聞網(wǎng)：020-34333079 郵箱：cenn_gd@126.com 我們將在24小時(shí)內(nèi)審核并處理。

分享到：

[責(zé)任編輯：姚小冰]